[ Update - 21/01/2011 ]
Os malwares da categoria RansomWare existem desde 1989 mas continuam a se multiplicar... Algumas versōes são um tiro no pé dos autores. Como este caso abaixo.
A variante Trojan.Bootlock teve sua análise recentemente postada no blog da Symantec. O post mostra a tela que, mas não mostra o processo de "recuperação" dos dados através da obtenção da passphrase "que inclui mais de 16 símbolos" para descriptografar a máquina afetada.
O "pedido de resgate" pode ser visto nesta captura de tela. Note o nome utilizado: "RBN Encryptor" - possivelmente faz referência a uma antiga denominação de um grupo de cribercrime Russo (Russian Business Network).
O problema é que neste caso específico, como só a MBR (Master Boot Record) foi "criptografada", ou seja - qualquer um que procurar pelo assunto na internet perceberá que não é necessário pagar os US$ 100 cobrados pelos criminosos, e é possível restaurar o disco com qualquer ferramenta de Recovery de MBR como a da própria Symantec..
Os sistemas utilizados para receber o pagamentos são versões underground do Paypal [Ukash e Paysafecard].
O FAQ da quadrilha é muito interessante também, veja a primeira resposta:
Q: How can you assure me to provide the right password once it is pais? (sic)A: We need not to cheat on you. Once you purchase a payment voucher..
Hmm.. Será? =)
[ Post Original - 03/05/2009 ]
A Linha Defensiva divulgou ontem a análise de um código malicioso que depois de se instalar, impede o acesso à aplicações e documentos (word, excel, powerpoint, msn, calc, adobe reader, meus documentos, paint, gerenciador de tarefas, etc.. ) do computador infectado - este tipo de código malicioso tem sido chamado de "ransomware".
A idéia de "sequestrar" os dados de um computador é antiga, e o Fábio nos remete ao vírus "Aids Info Disk", de 1989 - que alterava o Autoexec.bat das máquinas e criptografava os dados, requisitando um "resgate" de 378 dólares. Análise técnica (da época) aqui.
Recentemente a idéia foi revisitada (desde 2005 até hoje) por criadores de malware russos responsáveis pelo GPCODE, que em sua última versão (.AK) exige 300 dólares de resgate para que o usuário possa voltar a ter acesso aos documentos que foram criptografados com uma chave RSA de 1024 bits.
A versão brasileira funciona de uma maneira similar à versão russa, mas não informa ao usuário que os dados foram "sequestrados". Se o usuário tenta acessar um dos objetos bloqueados pelo malware, uma mensagem falsa de erro do Windows é apresentada e é oferecida a instalação de um falso programa de segurança chamado "Byte Clark" (cuidado ao acessar o site a seguir: www.byteclark.com.br) - ele - adivinhe - é único que corrige o falso bug apresentado na imagem acima ("Windows Versão 4817.3812 32 bytes").
Até o momento a maneira de propagação do malware é via email: a vítima recebe uma mensagem com o assunto: "Olá, estou te enviando meu convite de formatura com local, data e hora", e um arquivo .PPT anexo que inicia a infecção da máquina do usuário vítima.
No site da falsa empresa de segurança, há informações sobre o pagamento para o resgate dos dados sequestrados (ou melhor, para a correção do erro "Windows Versão 4817.3812 32 bytes"). Pasmem de novo: é informada uma conta válida da Caixa Econômica Federal:
Favorecido: Rodolfo Esteves B. da S.
Agência: 0233 OP: 013 Conta: 00002369-7
Agência: 0233 OP: 013 Conta: 00002369-7
Nas informações de whois do registro.br, o responsável pelo domínio é o Sr. "Luiz Trojahn". Curioso nome...
No caso de 1989, o inglês responsável foi preso rapidamente. Esperamos que as autoridades brasileiras consigam prender o copy-cat brazuca o mais rápido possível.
Update (05/05/2009):
O Fábio nos informou que: "O malware impede o acesso aos softwares listados através de um GetActiveWindow, identificando o processo que está rodando e dando o comando para fechá-lo. Ele não aplica nenhuma criptografia ou wipe nos arquivos do usuário, como faria um ransomware mais avançado. Ele se instala na inicialização e impede o acesso ao registro e ao gerenciador de tarefas para dificultar a remoção.
Encaminhamos denúncia a Polícia Federal, CERT e registro.br sobre o incidente para que tomem as providências cabíveis".
Análises do ransomware brasileiro:
- http://dekne.wordpress.com/2009/05/12/explaining-brazilian-ransomware/
- http://www.threatexpert.com/report.aspx?md5=50024b0baf7e5027d0809579a507e40a
- http://www.linhadefensiva.org/2009/05/antivirus-fraudulento-brasileiro-sequestra-sistema/
- http://www.virustotal.com/analisis/96413db831cebed443db592ce5d5570f
Sandro, boa noite!
ReplyDeleteFiz uma analise detalhada deste malware se quiser dar uma olhada aqui esta o link: http://dekne.wordpress.com/2009/05/12/explaining-brazilian-ransomware/
Grato
Obrigado dekne, muito boa a sua análise!
ReplyDelete[ ]s,